Benutzersicherheit

Question 1

Was ist das Prinzip des minimalen Systems?

Answer 1

Auf einem Computer sollten nur Programme installiert werden, die dringend benötigt werden. Ports, die nicht genutzt werden, sollten gesperrt werden. Dies soll verhindern, dass auf einen Rechner eingedrungen werden kann

Question 2

Welche Arten von Programmen gehören beispielsweise nicht auf einen Webserver?

Answer 2

• Grafische Benutzeroberflächen
• Programme zur Softwareentwicklung
• Treiber für nicht angeschlossene Hardware

Question 3

Wie funktioniert ein Buffer-Overflow Angriff?

Answer 3

Eine eingelesene Zeichenkette ist größer als der vorgesehene Speicherbereich und kann damit Teile des Programms überschreiben. Hierdurch kann der Angreifer Zugang zur Kommandozeile erlangen

Question 4

Wie kann man von Sicherheitslücken erfahren?

Answer 4

• Mailingliste von Herstellern
• cert.org
• cert.dfn.de

Question 5

Warum sollte man sich selbst hacken?

Answer 5

Um Hackern zuvorzukommen und um systematisch (beispielsweise mit nmap oder openVAS Schwachstellen zu finden)

Question 6

Wie arbeiten Integritätstest-Programme?

Answer 6

Erstellen Schnappschuss des Systems - beispielweise eine kryptografische Prüfsumme für jede Datei. Diese werden regelmäßig verglichen.

Question 7

Wo kann man erkennen, ob Angriffe auf ein System versucht werden?

Answer 7

In den Protokoll- und Logdateien nach Auffälligkeiten suchen

Question 8

Wie sollten vertrauliche Daten auf Webservern gespeichert werden?

Answer 8

Nicht unterhalb der Webwurzel (um nicht durch einen http-Request abrufbar zu sein)

Question 9

Wie können durch einen HTTP-Request Daten angegriffen werden, die nicht unter der Webwurzel liegen?

Answer 9

Durch Verweise von anderen Bäumen. Der Webserver sollte entsprechend so konfiguriert werden, dass symbolische Links nicht verfolgt werden.

Question 10

Wie sollte man Daten auf seinem Webserver ändern?

Answer 10

Wenn möglich, direktes Modem nutzen. Falls nicht möglich, über das Internet SSH-Verschlüsselt. Programm scp (secure copy) nutzen und Authentisierung durch RSA-Schlüsselpaar

Question 11

Welche Regeln sollte ein Administrator eines Webservers einhalten?

Answer 11

1. Minimales System
2. Richtige Konfiguration (nicht genutzte Ports schließen)
3. Regelmäßige Softwareupdates
4. Selbst hacken
5. Integritätstest
6. Log-Dateien kontrollieren
7. Regelmäßige Back-Ups
8. Keine vertraulichen Daten im Web-Bereich
9. Sicherer Administratorzugang mit SSH

Question 12

Wie heißt der HTTP-Server von Microsoft?

Answer 12

Internet Information Server (IIS)

Question 13

Was muss man beim Konfigurieren eines IIS beachten?

Answer 13

• IIS muss als Rolle bei der Installation ausgewählt werden
• Bei Installation die Dokumentation beachten
• Zertifikat installieren, falls TLS-verschlüsselt werden soll
• Patch Day am zweiten Dienstag im Monat

Question 14

Was sollte man vor der Installation eines UNIX-Servers festlegen?

Answer 14

Richtige Aufteilung der Festplatte
- Trennen von System- und Benutzerverzeichnissen
- Trennen von variablen und temporären Verzeichnissen
- Trennen von schreibbaren und nicht schreibbaren Verzeichnissen

Question 15

Was macht ein Logical Volume Manager?

Answer 15

Erlaubt bei Unix das Anlegen von mehr als vier Partitionen und flexible Veränderung dieser

Question 15

Wie funktioniert das init-Konzept?

Answer 15

Konfigurationsdatei wird eingelesen (inittab), eine Reihe von Prozessen wird gestartet (init.d). Weitere Dienste werden nacheinander gestartet. inetd (verbesserte Version: xinetd) entscheidet bei ankommenden IP-Paket an einen Port, welches Programm zuständig ist und startet dieses gegebenenfalls.

Question 16

Was unterscheidet systemd von init?

Answer 16

Dienste werden parallel gestartet
Sockets (Schnittstellen zwischen Prozessen) können effektiver verwaltet werden

Question 17

Wie kann man unter Linux einen Webserver neustarten?

Answer 17

• alten Prozess beenden (kill)
• Prozess neustarten (restart)
• Dienst neustarten (restart) bei systemd

Question 18

Warum sollten Benutzer und Benutzergruppen, denen der Webserver gehört, keine Zugriffsrechte auf Dateien außerhalb haben?

Answer 18

Falls ein Angreifer den Webserverprozess abstürzt oder Shell starten kann, kann er keinen weiteren Schaden anrichten.

Question 19

Wo wird unter Linux spezifiziert, wo im Dateibaum die Wurzel des Webservers und der Dokumente liegt?

Answer 19

ServerRoot
DocumentRoot

Question 20

Wo wird unter Linux geregelt, welche Datei ein Webserver auf eine Anfrage liefert, die nur aus einer URL bestehen?

Answer 20

DirectoryIndex

Question 21

Wie wird auf Linux-Servern geregelt, wer auf Verzeichnisse zugreifen kann?

Answer 21

Innerhalb des directory-Verzeichnisses können DNS-Namen und IP-Adressen zu allow oder deny hinzufügen. Mit Options +/- können andere Eigenschaften ein- und ausgeschaltet werden, beispielsweise das verfolgen von symbolischen Verweisen

Question 22

Was ist ein Nachteil von Directory-Parametern und wie kann dieser umgangen werden?

Answer 22

Zugriffsrechte werden erst wirksam, wenn Webserver angehalten und neugestartet wird. Kann umgangen werden, in dem .htaccess-Datei im Verzeichnis die Zugriffsrechte regelt.

Question 23

Wie unterstützt Apache SSL?

Answer 23

• Standardmäßig nicht untersützt, jedoch durch Module nachrüstbar. Es kann eingestellt werden, dass nur starke Verschlüsselungsalgorithmen genutzt werden sollen

Question 24

Was sind Skripte?

Answer 24

Kleine Programme in Skriptsprachen, die nicht in Maschinensprache übersetzt werden von einem Interpreterprogramm interpretiert und ausgeführt werden

Question 25

Was sind Risiken von JavaScript?

Answer 25

Javascript kann beliebige URL anfordern, auch URL die auf ein CGI-Skript zeigt. Mit diesem kann Daten als Parameter an einen fremden Webserver übergeben

Question 26

Was besagt die Same Origin Policy?

Answer 26

Sie schränkt JavaScript ein. Scipte, die nicht von der gleichen HTML-Seite kommen, auf der sie stehen, kriegen keinen Zugriff auf bestimmte Nutzerdaten. Skript kann jedoch Rechte beim Nutzer anfragen!

Question 27

Wie soll die Sicherheit von Java erhöht werden?

Answer 27

1. Java-Applets laufen in spezieller Laufzeitumgebung (Java-Sandbox) die verhindert, dass sicherheitskritische Funktionen ausgeführt werden können:
   - Dateien vom lokalen System lesen, schreiben, löschen und umbennen
   - Andere Programme auf lokalem System starten
   - Netzverbindungen zu anderen Computern starten
2. Byte-Code Verifier prüft, ob Code verändert oder von böswilligem Compiler übersetzt wurde

Question 28

Was sind Risiken von Java?

Answer 28

Sicherheitsfunktionen können durch böswillig manipulierten Compiler oder veränderten Byte-Code verfälscht werden.

Question 29

Was sind Risiken von ActiveX?

Answer 29

ActiveX kann alle Funktionen des Betriebssystems nutzen (Festplatte lesen, Verbindungen aufbauen, Daten senden, Systemeinstellungen verändern)

Question 30

Was sind Risiken von PDF und PostScript?

Answer 30

Bei genauer Kenntnis vom lokalen System kann auf lokale Daten zugegriffen werden

Question 31

Was sind die vier Schritte der Computerforensik?

Answer 31

1. Angriff überhaupt erkennen
2. Beweise sichern, um Angreifer zur Verantwortung ziehen zu können
3. Angriff analysieren, um mögliche Ursachen zu ergründen und zukünftige Angriffe unmöglich zu machen
4. Angriffsspuren restlos beseitigen, Schwachstellen des Systems beheben

Question 32

Was ist der Unterschied zwischen persistenten und nicht-persistenten Informationen?

Answer 32

Nicht-Persistente Informationen gehen bei eine Neustart verloren

Question 33

Wie können Beweise sicher gesichert werden?

Answer 33

1. Externes Speichermedium mit statisch gebundenen Methoden führt vertrauenswürdige Kommandos aus (Anschließen des Mediums verändert Zustand des Systems)
2. Neustart durch vertrauenswürdiges Medium (persistente Daten gehen verloren)

Question 34

Wie kann man nicht-persistente Daten in Unix abfragen?

Answer 34

meminfo und PID-mem geben Auskunft über Hauptspeicher (Größe und zugreifende Programme)
who gibt Auskunft, welche Benutzer angemeldet sind
ps-elf zeigt laufende Prozesse an, PID gibt Prozessnummer durch
date liefert Datum und Systemzeit
fdisk-1 gibt Info über Dateisystem und angehängte Geräte

Question 35

Wie kann man nicht-persistente Daten in Windows abspeichern?

Answer 35

Hilfsprogramme von Sysinternals sollten vor Angriff installiert worden sein
- pslogged gibt Information über angemeldete Benutzer
- pslist gibt Liste der Prozesse mit Eigenschaften aus
- tcpview gibt Info, welche Verbindungen von welchen Rechnern an bestimmte Ports bestehen

Question 36

Wie sollte man Zustandsinformationen sichern? Wie nicht?

Answer 36

Nicht durch Fotos (geringe Beweiskraft) oder lokale Sicherungskommandos (verändern Zustand).

Sinnvollerweise Ausgaben auf externe Medien (USB-Sticks etc.) oder über ein sicheres Netz ausleiten. Ausgaben sollten protokolliert und vor Veränderungen geschützt werden (beispielsweise durch SHA-Prüfsumme=

Question 37

Wie sollten persistente Informationen gesichert werden?

Answer 37

Festplatte entweder ausbauen und in sicheren Computer einbauen oder von externem sicheren Medium starten
Festplatte komplett kopieren
Kommando bei Unix: dd
Kryptografische Prüfsummen für Integrität festhalten

Question 38

Was ist The Sleuth Kit?

Answer 38

Programm zur Untersuchung von Festplatten und Image-Dateien

Question 39

Auf welchen Abstraktionsebenen arbeitet the Sleuth Kit?

Answer 39

Disk: Festplatte als Ganzes
Volume
Data Unit/Sektor: Kleinste addressierbare Einheit
File System: Dateisystem
MetaData: Persistente Verwaltungsinformationen
FileNames: Verzeichnisnamen

Question 40

Wie kann man die Imagedatei einer Partition inspizieren?

Answer 40

Programme aus dem Sleuthkit nutzen
Imagedatei in das Dateisystem des Untersuchungsrechners einbinden

Question 41

Welche Arten von Daten gelten in der Forensik als besonders interessant?

Answer 41

• Daten die versteckt wurden
• Systemdaten, die nicht mehr im Original sind
• Daten, die kürzlich geändert wurden

Question 42

Wie können Daten versteckt werden?

Answer 42

• Name täuscht falschen Dateityp vor
• Bestimmte Namenskomponenten werden von bestimmten Programmen nicht ausgegben, z.B. Dateien die mit einem Punkt beginnen bei ls in Unix

Question 43

Wie können manipulierte Systemdateien entdeckt werden?

Answer 43

Durch kryptografische Prüfsummen (Hashes)

Question 44

Welcher Befehl zeigt in Unix alle Dateien an?

Answer 44

ls

Question 45

Wie kann man verdächtige Dateien untersuchen?

Answer 45

Nach Strings suchen (verdächtige ASCII-Zeichenketten)
- Dies kann auch auf nicht mehr genutzten Speicherraum angewandt werden, um Inhalt von gelöschten Dateien freizugeben

Question 46

Wonach sollte man in den Protokolldateien suchen?

Answer 46

Erfolglose Anmeldeversuche (insbesondere auf Administratorkonten)
Erfolgreiche Anmeldungen kurz vor Angriff
Neu gestartete & installierte Dienste
Informationen über Starts und Herunterfahren
Änderungen an Hardwarekonfigurationen

Question 47

Welche Gegenmaßnahmen kann man nach einem Angriff durchführen?

Answer 47

Bei Angriffen auf Programme und Programmfehlern: Neue und aktualisierte Version installieren
Bei ausgespähtem Passwort: Neues Passwort setzen, prüfen ob altes durch Klartext übertragung ausgespäht wurde und einen neuen Weg wählen

Question 48

Wie kann man Veränderungen durch einen Angriff rückgängig machen?

Answer 48

Sicherungskopien von vor dem Angriff auf das System kopieren